股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 工(gōng)业控制系统安(ān)全防护技(jì )术方案
立即咨询
行业背景
随着“中(zhōng)國(guó)制造2025”、“两化融合”等國(guó)家战略的快速推进,工(gōng)业控制系统已经普遍应用(yòng)于能(néng)源、钢铁、制造、轨交、烟草(cǎo)等行业,為(wèi)企业降本增效的同时,工(gōng)业控制信息系统安(ān)全问题日益凸显,遭受网络攻击引起的工(gōng)业控制系统衍生性危害巨大,轻则设备损坏、停工(gōng)停产(chǎn);重则人员伤亡,甚至对國(guó)家安(ān)全造成严重损害,不断发生的针对工(gōng)业控制系统的网络安(ān)全事件时有(yǒu)发生。
為(wèi)保障工(gōng)业控制系统安(ān)全稳定运行,须根据《GB/T22239-2019信息安(ān)全技(jì )术网络安(ān)全等级保护基本要求》,為(wèi)工(gōng)业控制系统提供满足实时性、稳定性要求為(wèi)前提的等级保护安(ān)全解决方案。
安(ān)全问题
為(wèi)满足企业数字化转型,工(gōng)业控制系统逐步打破了原始信息孤岛的形式,工(gōng)业控制系统采用(yòng)私有(yǒu)的工(gōng)业通讯协议与软硬件系统,将生产(chǎn)单元區(qū)、企业办(bàn)公(gōng)區(qū)、工(gōng)业安(ān)全區(qū)甚至企业安(ān)全區(qū)打通,进行数据共享,為(wèi)工(gōng)业生产(chǎn)带来极大推动作(zuò)用(yòng)的同时,也带来了诸多(duō)工(gōng)控系统的安(ān)全问题。
以往的IT网络安(ān)全防护技(jì )术不能(néng)适应现有(yǒu)的工(gōng)业控制系统安(ān)全防护需求(如无法实现OPC动态端口协议以及其他(tā)工(gōng)业协议深度解析的安(ān)全防护需求),可(kě)见工(gōng)业控制系统安(ān)全任重道遠(yuǎn),刻不容缓!
网络安(ān)全风险和漏洞常见问题
-
网络边界模糊 -
工(gōng)业协议自身安(ān)全问题 -
工(gōng)控机系统漏洞 -
工(gōng)业病毒攻击 -
非法网络嗅探 -
APT攻击 -
工(gōng)业组态软件与控制器漏洞 -
勒索病毒 -
未经授权访问
解决方案
根据等保2.0中(zhōng)对要求,对于工(gōng)业控制系统的等级保护方案应遵循“一个中(zhōng)心,三重防护”的防护原则。
一个中(zhōng)心
- 安(ān)全管理(lǐ)中(zhōng)心设计
- 通过安(ān)全管理(lǐ)平台对工(gōng)控网络系统内部安(ān)全探针实现安(ān)全设备集中(zhōng)状态监控、日志(zhì)收集、策略下发等通过安(ān)全管理(lǐ)中(zhōng)心实现对整个工(gōng)控系统网络安(ān)全威胁的集中(zhōng)管控与展示。部署日志(zhì)审计系统,实现日志(zhì)留存、审计分(fēn)析,為(wèi)安(ān)全专员提供有(yǒu)效技(jì )术手段通过工(gōng)业堡垒机进行认证管理(lǐ)、账号管理(lǐ)、权限管理(lǐ)、操作(zuò)审计等策略,实现运维操作(zuò)的准入、控制以及审计。
三重防护
- 安(ān)全區(qū)域边界设计
- 通过工(gōng)控网闸实现工(gōng)业控制系统与非工(gōng)控网络之间的边界安(ān)全隔离与访问控制;通过工(gōng)控防火墙系统实现控制系统内部协议传输过程中(zhōng)的工(gōng)业协议深度解析与访问控制;通过工(gōng)业全流量检测审计与溯源系统、工(gōng)业网络监测审计系统实时监测来自边界处的入侵、病毒、木(mù)马等攻击行為(wèi),对攻击行為(wèi)和关键事件及时告警与拦截。為(wèi)纵深安(ān)全防御體(tǐ)系建设打下坚实基础。
- 安(ān)全通信网络设计
- 通过工(gōng)业网闸数据单向摆渡的机制,对工(gōng)业数据进行单向传输,杜绝任何来自除工(gōng)控网络以外其他(tā)系统的网络威胁。通过在工(gōng)业控制系统内部部署工(gōng)控防火墙实现上位机之间、上位机与下位机之间的安(ān)全工(gōng)业数据通信链路,对于使用(yòng)互联网传输的工(gōng)业数据可(kě)利用(yòng)虚拟专用(yòng)网络技(jì )术(VPN)防止工(gōng)业数据传输过程中(zhōng)被窃听、篡改、冒充。
- 安(ān)全计算环境设计
- 通过在生产(chǎn)控制區(qū)域内的工(gōng)程师站、操作(zuò)员站部署工(gōng)业主机白名(míng)单产(chǎn)品,对工(gōng)控主机系统、工(gōng)控软件、接入设备等计算环境进行安(ān)全加固与白名(míng)单管理(lǐ)。实现主机恶意代码防范,提升主机本體(tǐ)防御能(néng)力。同时可(kě)规划工(gōng)控审计类、入侵检测类组成安(ān)全的计算环境检测體(tǐ)系,实时监控工(gōng)控网络环境,发现异常及时告警。
工(gōng)业安(ān)全产(chǎn)品族
工(gōng)业安(ān)全引领者
-
- 控制
- 工(gōng)业生产(chǎn)设备
-
- 执行
- 防范风险产(chǎn)生
-
- 管理(lǐ)
- 安(ān)全合规生产(chǎn)
-
- 决策
- 规避潜在问题
亚信工(gōng)业控制系统等级保护解决方案拓扑图
工(gōng)业控制系统网络架构应遵循IEC62264工(gōng)业控制系统普渡模型,但随着信息物(wù)理(lǐ)系统的发展,已不能(néng)完全适用(yòng),
因此对于不同的行业企业实际发展情况,允许部分(fēn)层级合并。
因此对于不同的行业企业实际发展情况,允许部分(fēn)层级合并。
